ホームページのセキュリティについて。

○ホームページをつくり、現在レンタルサーバーをかりています。これだけでセキュリティが安全なのでしょうか？
○ファイヤーウォールを導入したほうがいいと知人にいわれましたがレンタルサーバーなのですがどうすればいいのでしょうか？
◎とりあえず私としてはレベルの低いハッカーくらいにはダウンされないくらいのセキュリティを装備したいと考えています。
○どなたかアドバイスおねがいします。なにか根本的に考えが誤っているようでしたら指摘おねがいします。

No.3 回答者： info22 回答日時： 2005/07/22 20:59

レンタルザーバーは、レンタルサーバーの会社において利用する方式のようですね。

今時、無停電装置をサーバーにつけることは当たり前です。
No.2さんの回答の補足に書かれているレンタルサーバー会社のうたい文句は抽象的な言葉だけが並んでして、セキュリティ対策やログ管理、貸す側と借りる側の作業内容の分担（質問者側でやれる範囲、サーバーへのアクセス権）が書かれていませんね。つまり、FWのインストールや設定、危ないポートのフィルタリング作業が出来るのかどうか、サーバーがSSLやHTTPSに対応できるのか、FreeBSDにセキュリティホールが発生した場合、HPが改ざんされてしまったなどのようなときの貸す側と借りる側のできる、する範囲を明確にする。借りる側でやらなければならない範囲に対して、アクセス権限が設定されているか、借りる側で対応が困難な場合の貸す側の支援体制（サービスと窓口）がどうなっているかを確認しておく必要がありますね。

以上のようなことを明確にしておかないと、質問者さんの方で、やれること、やらなければならないことが明確になりませんね。会社の個人情報も漏れかねませんから、責任範囲を明確にし、自社でやるべき範囲はしっかりおこなって、HPを運用してしていくことになります。
HPの更新作業に使うパソコンは、社員が日常で使うパソコンと兼用してはいけませんね。
作業者のパソコンがウイルス感染して、感染ファイルをHPにアップしてしまう例も結構起きています。HPアクセス者からの苦情で気が付き、感染対策や改ざんされてその対策でサーバーをしばらくダウンさせざるを得ない事態も発生します。

> OS 　 FreeBSD 4.10-RELEASE
現在のリリースは　FreeBSD 4.11-RELEASEです。
http://www.jp.freebsd.org/
こういったOSの新バージョンへの移行と移行の遅れはセキュリティフォールが発生する原因になりますが、この対応はレンタルサーバーでどの位の遅れで対応してくれるのでしょうか？　それともサーバーを借りたほうで行うのでしょうか？　この確認と遅れ対策が必要ですね。

>WEB 　 Apache 1.3.31
現在のリリースは Apache 1.3.33ですが、セキュリティパッチ宛てやバージョンアップ等が遅れ気味みたいですね。このセキュリティ管理やパッチ当てをどなたが行うのでしょうか？
　
れともサーバーを借りたほうで行うのでしょうか？　この確認と遅れ対策が必要ですね。

この回答への補足

私の会社は自営業でしたので無知さを感じます。
感謝します。
よかったら安価のわりにしっかりしているおすすめのサーバー教えていただけるでしょうか？
価格以上の価値があるサーバーをおねがいします。

補足日時：2005/07/24 23:58

No.2 回答者： you-m 回答日時： 2005/07/22 13:39

まずは、以下の質問と回答を読んでみてください。

http://okweb.jp/kotaeru.php3?q=1481482
http://okweb.jp/kotaeru.php3?q=1479799

上記の回答内でも言っていることですが、「こうすれば安全」という分かりやすい方程式は存在しません。完全に安全なシステムなどと言う物も存在しません。システムに関する広範で正しい知識と、日々のメンテナンスのみがセキュリティをより高めることができます。

そのうえで、回答していくと・・・。

現在借りているレンタルサーバが、共用サーバの場合、セキュリティはレンタルサーバ会社の管理・構築レベルに依存します。数値化して評価できるようなものでもないので、判断は難しいでしょう。

借りているサーバが専用サーバの場合、初期構築環境をどう安全に運用するかは、100%質問者さんのスキルに依存します。ご自身が如何に勉強し、日々セキュリティに関する情報に対してアンテナを立てていられるか、それに対して迅速に対応できるかが、ポイントになります。

ファイヤーウォール（以下F/W）を導入するのであれば、サーバをつなぐネットワークごと自前のものである必要があります。現在のレンタルサーバがどのようなネットワークに繋がっているのかはサーバ会社のみぞ知るところです。
また、上の回答でも言っているのですが、F/Wもきちんと設計・運用できないのであれば、導入しても意味がありません。

ハッカーとは、高度なスキルを持った人への尊称なので、迷惑をかける人は、クラッカーと呼んで区別してください。
そして、クラッカーの大半はレベルが高いわけではなく、レベルが高い人のノウハウや、作ったツールを使う為、そういった線引きは守る立場からはあまり意味がありません。


セキュリティ技術というのは、単に動く環境を構築するよりもはるかに地味で、高度であり、また継続的な努力や作業が必要で、真剣に考えるほど高コストになります。
一般には、個人レベルでこういった事を継続して行うのは非常に困難な為、文字通りそれを業務として行うことができる（専念できる）サーバ管理業者に任せる事になるわけです。

質問者さんが、具体的にどのような心配をされて、セキュリティを気にしているのか、まずはそこを明確にした上で、まずはレンタルサーバ会社に直接懸念をぶつけてみてはいかがでしょうか？
漠然とセキュリティといっても、質問者さんが考えているよりもはるかに広い範囲が対象になりますよ。

この回答への補足

弊社では法人向けサービスとして多数の企業のホスティング、ハウジングサービスも請け負っています。
その技術とハイスペックな自社サーバー、自社回線を、個人向けレンタルサーバーサービスに贅沢に使っているのが、 他の格安レンタルサーバーとは一味違うところです。
高品質のサービスを実感してください。

日本有数のデータセンターである京都リサーチパーク＆NTTコミュニケーションズ。
ＣＶＣＦ(無停電電源装置)＋コージェネレーションガスによる自家発電システムという、安定した電源供給とN+1の空調、さらに安心の免震構造、強固なセキュリティにより、皆様の大切なデータを万全な体制でお預かりします。

らしいのですがレベルは高いのでしょうか？

補足日時：2005/07/22 19:14

No.1 回答者： info22 回答日時： 2005/07/22 13:15

ご質問が正確ではありませんので回答が困難です。

レンタルサーバーのレンタルの形態(自社設置、レンタルサーバー会社設置、サーバーでの管理者権限の範囲、HPのみのレンタル、サーバー計算機の丸貸しなど)や設置場所（レンタル会社、自社）、サーバーの運用・管理の分担範囲（どこまでをレンタル会社がやり、どこからを自社でやるか）、セキュリティ対策の分担（レンタル会社が対応してくれる範囲の明確化）などを書いていただかないと、ほとんど対策しなくてよいのか、全部自社でセキュリティ対策し、攻撃があったときの対応もすべてしないといけないかなどの情報が明確でありません。
WWWサーバーのソフトも好きなものをインストールできるのか、レンタル会社指定のもの（プリインストールしたもの）を使うのか、そうであれば、WWWサーバーソフトは何を使っているのかなどの情報不足です。またサーバーのOSも記してください。

情報の追加をお願いします。

この回答への補足

サーバー 　 HP Proliant DL140

CPU 　 Intel Xeon 2.4GHz * 2

Memory 　 2GB Memory

HDD 　 72GB(うち4GBをswapとして利用)

OS 　 FreeBSD 4.10-RELEASE

WEB 　 Apache 1.3.31

利用可能な言語 　 Perl 5.00503　/　Python 2.3.4　/　ruby 1.8　/　mod_php 4.3.8
mod_perl 2.8.18　/　mod_python 2.7.10　/　mod_ruby 1.2.0　
らしいです。

補足日時：2005/07/22 19:12